Datenschutzrechtliche Garantien oder Zusicherungen können dazu beitragen, kostenträchtige Risiken im Rahmen einer gesellschaftsrechtlichen Transaktion zu reduzieren. Wesentlich ist, die relevanten Punkte zu adressieren und vor allem Verantwortlichkeiten zu verstehen, die sonst die vertragliche Absicherung ins Leere laufen lassen können.
Wozu der Aufwand?
Personenbezogene Daten werden von ausnahmslos allen Unternehmen im Rahmen ihrer Geschäftstätigkeit verarbeitet, seien es die Daten von Kunden und Kundinnen oder von Mitarbeitern und Mitarbeiterinnen. Aufgrund der extensiven Anwendbarkeit datenschutzrechtlicher Vorschriften, nicht zuletzt der EU-Datenschutzgrundverordnung (DSGVO) oder etwa des Health Insurance Portability & Accountability Act (HIPAA), um nur zwei Beispiele zu nennen, sind nicht nur typische datengetrieben Tech-Unternehmen betroffen, sondern ebenso mittelständische Unternehmen der Old Economy. Millionenbußgelder gegen H&M (Bekleidungsindustrie) oder Deutsche Wohnen (Immobilienbranche) zeigen die Spannbreite möglicher Risiken und die Kosten für Unternehmen in diesem Zuge. Bislang eher vernachlässigt, gleichwohl hochriskant sind mögliche Schadenersatzansprüche von natürlichen Personen, etwa Millionen von Kunden und Kundinnen, die wegen einer Datenschutzverletzung Ansprüche geltend machen können.
Die häufigsten datenschutzrechtlichen Risiken lauern in (1) einer unzureichenden datenschutzrechtlichen Organisation, (2) „schwarzen Löchern“ aufgrund mangelhafter Kenntnis von Datenflüssen und relevanten Verarbeitungen oder (3) einer vermeintlich vollständigen datenschutzrechtlichen Compliance, die nur auf dem Papier existiert.
Die Haben-Seite – Representations
Zusicherungen im Bereich des Datenschutzes beziehen sich in der Regel zunächst auf die Einhaltung allgemeiner Compliance-Vorgaben, etwa der ordnungsgemäßen Bestellung eines/einer Datenschutzbeauftragten oder dem Führen eines Verfahrensverzeichnisses.
Daneben sollte ein weiteres Augenmerk auf die Einhaltung der Vorgaben zu den umfangreichen Betroffenenrechten gelegt werden. Gerade in Bezug auf die Umsetzung von Löschpflichten können Zusicherungen auf Käuferseite möglicherweise teure Wissenslücken schließen.
Gleiches gilt für sogenannte Data Breaches, also Verletzungen des Schutzes personenbezogener Daten und die Einhaltung von Meldepflichten und vor allem der Vollständigkeit der Dokumentation, sofern diese während der Due Diligence verfügbar gemacht wurde.
Im Fokus bei internationalen Transaktionen sind insbesondere Drittstaatentransfers, die schon in der Vergangenheit eine Vielzahl von Maßnahmen erforderten, um rechtmäßig durchgeführt zu werden. Zusicherung in diesem Bereich werden in der Regel nicht isoliert, sondern mit flankierenden Garantien eingefordert.
Sollen die Zusicherungen nicht ins Leere laufen, muss besondere Sorgfalt auf die Verknüpfung mit den Indemnifications gelegt werden. Oftmals werden die Zusicherungen zu weit abgefasst oder knüpfen an eine untaugliche Tatsache an. Eine Zusicherung etwa, dass ein Verfahrensverzeichnis geführt wurde, ist wertlos, wenn dieses nicht sämtliche, relevante Verarbeitungstätigkeiten abbildet und so mögliche Bußgelder nicht von der Freistellung umfasst sind.
Die Soll-Seite – Warranties
Mit Garantien können – in der Theorie – mögliche Datenschutzverstöße eines Targets finanziell abgefedert werden. Tatsächlich können solche umfassenden Garantien kaum erfolgreich vereinbart werden, denn kein Verkäufer und keine Verkäuferin lässt sich darauf ein, etwa Garantien abzugeben, die auf die rechtmäßige Datenverarbeitung noch in der letzten Ecke des Unternehmens abstellen. Vielmehr muss mit Augenmaß bereits bei der Due Diligence identifiziert werden, welche Datenverarbeitungen wirklich relevant und haftungsträchtig sind. Für diese können dann Garantien abgefasst werden, die das tatsächliche Risiko adressieren und wirtschaftlich sinnvoll eingepreist werden können.
Besonderes Augenmerk muss auf die Verjährungsfristen gelegt werden. Ordnungswidrigkeitenverfahren mit langen Verjährungsfristen können im schlimmsten Fall – je nach Ausgestaltung der Freistellungsklausel – aus der Freistellung fallen. Behördenverfahren ziehen sich oft über Jahre und können aus diesem Grund bei entsprechender Ausgestaltung der vertraglichen Regelungen am Ende ein Haftungsproblem darstellen. Käufer und Käuferinnen und Verkäufer und Verkäuferinnen müssen sorgfältig auf den Anknüpfungspunkt der Garantien achten, ob diese auf die Rechtsverletzung oder die Rechtsfolge abstellen
Zum Schluss: Die unklare Rechtslage und ihre Folge
Das Datenschutzrecht ist kein statisches Rechtsgebiet, sondern unterliegt dem ständigen Wandel und der Weiterentwicklung. Der Versuch in Europa mit der DSGVO einen einheitlichen Rechtsrahmen zu schaffen, endet bei der Rechtsdurchsetzung, trotz „one stop shop“ und „lead authority“. Bei grenzüberschreitenden Transaktionen können die zum Teil abweichenden Rechtsauffassungen im Datenschutzrecht schon in Europa herausfordernd sein. Bei Transaktionen, die an der Grenze des europäischen Wirtschaftsraums nicht Halt machen, ist die Komplexität noch einmal höher. Das britische und europäische Datenschutzrecht etwa sollten eigentlich harmonisiert sein – doch schon beim Anwendungsbereich der UK GDPR und der DSGVO besteht ein unüberbrückbarer Konflikt. Zusicherungen und Garantien müssen diese Herausforderungen berücksichtigen.
Verkäuferseitig sollte unbedingt darauf geachtet werden, ob die jeweilige Garantien nicht weit über den gesetzlich geforderten Rahmen hinausgeht – das Datenschutzrecht ist geprägt von Behördenauffassungen, die aber gerade in Deutschland nur in wenigen Fällen bislang abschließend von den Gerichten bestätigt wurden.
